Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung nach Art. 82 Abs.1 DSGVO führen (BGH, Urt. v. 13.05.2025 - Az.: VI ZR 186/22).
Ein Mann hatte der verklagten Stadt ausdrücklich verboten, seine personenbezogenen Daten unverschlüsselt zu übermitteln. Dennoch schickte die Stadt mehrfach gerichtliche Empfangsbekenntnisse per unverschlüsseltem Fax an ein Verwaltungsgericht. Die Faxe enthielten seinen Nachnamen sowie gerichtliche und behördliche Aktenzeichen.
Der Kläger betrieb ein Unternehmen, das Sprengstoffe an staatliche Behörden lieferte, und sah sich deshalb besonderen Gefahren ausgesetzt. Er verlangte wegen der Faxversendungen 17.500 EUR DSGVO-Schadensersatz.
Das LG Osnabrück verurteilte die Stadt zur Zahlung einer Summe von 7.000,- EUR. Das OLG Oldenburg wies die Berufung dagegen zurück.
Im Rahmen der Revision entschied der BGH nun, dass dem Kläger gar kein Ausgleichsanspruch zustünde.
Der Kläger habe keinen echten Schaden nachweisen können. Ein bloßer Verstoß gegen die DSGVO reiche nicht aus, um eine Geldentschädigung zu bekommen. Vielmehr müsse konkret dargelegt werden, dass durch den Verstoß ein Schaden tatsächlich entstanden sei.
Im vorliegenden Fall habe der Anspruchsteller lediglich ein hypothetisches Risiko beschrieben. Es sei theoretisch möglich, dass jemand das Fax abgefangen und missbraucht habe. Es gebe jedoch keinerlei Hinweise darauf, dass dies wirklich passiert sei oder dass konkrete negative Folgen eingetreten seien. Selbst die Polizei stufte die Gefährdung des Klägers nur als abstrakt ein.
Das Begehren könne auch nicht damit begründet werden, dass man zukünftige Datenschutzverstöße verhindern wolle. Denn Art. 82 DSGVO diene nicht der Bestrafung, sondern vielmehr dem Ausgleich eines konkreten Schadens:
“Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.”